- •Управление доступом к базам данных
- •Управление работой пользователей
- •Аутентификация пользователей
- •Аутентификация по паролю
- •Аутентификация операционной системы
- •Аутентификация глобального имени пользователя
- •Табличная область по умолчанию для пользователя.
- •Временная табличная область пользователя
- •Блокированные и разблокированные учетные сведения пользователей
- •Работа с привилегиями
- •Типы привилегий
- •Системные привилегии
- •Объектные привилегии
- •Предоставление и отмена привилегий
- •Работа с привилегиями при помощи ролей
- •Предварительно установленные роли базы данных
- •Роли, определяемые пользователями
- •Разрешение и запрещение ролей
- •Роли по умолчанию
- •Аутентификация ролей
- •Ограничение использования ресурсов
- •Квоты для табличных областей
- •Наборы параметров для ограничения ресурсов
- •Работа с учетными сведениями пользователей
- •Набор параметров для ограничения ресурсов по умолчанию
- •Аудит баз данных
- •Избирательный аудит
- •Записи аудита и журнал аудита
- •Установка опций аудита
Управление доступом к базам данных
В любой многопользовательской компьютерной системе обеспечение безопасности является крайне важной задачей. Системы баз данных Oracle– не исключение. При отсутствии надлежащего управления безопасностью системы нарушители могут проникнуть в базу данныхOracle, просмотреть конфиденциальную информацию и внести несанкционированные изменения в хранимые данные. В этой главе анализируются разнообразные средстваOracle, которые позволяют управлять доступом пользователей к ресурсам баз данных:
Управление работой пользователей и аутентификация
Управление привилегиями и ролями
Ограничение использования ресурсов баз данных
Работа с паролями пользователей
Аудит баз данных
Управление работой пользователей
Первой линией защиты от нежелательного проникновения в базы данных является управление доступом к системе. Чтобы пользователь мог соединиться с базой данных Oracle, он должен иметь в ней имя (username). Создавать имена пользователей можно при помощи SQL-командыCREATEUSER.
Аутентификация пользователей
Необходимо точно указать, как Oracleследует опознавать (аутентифицировать) использование новых учетных сведений (account) для каждого пользователя базы данных. Когда кто-то пытается соединиться с базой данных при помощи некоторого имени пользователя,Oracleопределяет, имеет ли право человек, употребивший данное имя, использовать эти учетные сведения. Опознавать пользователейOracleможет тремя различными способами: по паролю, а также применяя аутентификацию операционной системы и аутентификацию глобального имени пользователя.
Аутентификация по паролю
Oracleможет опознавать имя пользователя по паролю (password). Когда пользователь запускает приложение, оно требует ввести имя и соответствующий этому имени пароль. ЗатемOracleпроверяет подлинность запроса на соединение с помощью информации, содержащейся в учетных сведениях пользователя, которые управляются базой данных. Аутентификация по паролю распространена в системах клиент/серверOracle, когда пользователи соединяются с сервером баз данныхOracleпри помощи клиентскихPCилиNC.
Когда применяется аутентификации по паролю, рекомендуется использовать достаточно сложные пароли, а также следить за тем, чтобы пользователи периодически их изменяли. Более подробно о работе с паролями рассказано в разделе "Работа с учетными сведениями пользователей" данной главы.
Аутентификация операционной системы
Oracleможет опознавать имя пользователя при помощи операционной системы того компьютера, на котором работает сервер баз данных. При запуске приложения оно не запрашивает у пользователя информацию о соединении. Вместо этого приложение передаетOracleучетные сведения пользователя, предоставляемые операционной системой. ЗатемOracleпроверяет подлинность запроса на соединение, убеждаясь в том, что пользователь операционной системы зарегистрирован в базе данных. Аутентификация операционной системы распространена в тех средахOracle, которые ориентированы на использование хост-машин, когда пользователи соединяются сOracleпри помощи терминалов, непосредственно соединенных с сервером баз данных.
Аутентификация глобального имени пользователя
Oracleможет опознавать глобальное имя пользователя (globalusername) при помощи внешнего сетевого сервиса. Когда пользователь запускает приложение и запрашивает соединение,Oracleпроверяет подлинность запроса с помощью информации о пользователе, управляемой внешним сервисом защиты. ВOracle8 имеется собственный сервис защиты,OracleSecurityServer, который можно применять для работы с глобальными пользователями баз данных. Аутентификация глобального имени пользователя распространена и тех сетевых средах, где требуется доступ к нескольким базам данныхOracle, а сеть не всегда достаточно защищена.